科技網站透過實驗證明,就算是長達16個任意字元所組成的密碼,駭客也能在不到1小時內成功破解。不過網站建議,密碼還是越長越好,且11字元以上的比較安全。
科技網站Ars Technica從列有1萬6449個密碼的清單當中,破解超過1萬4800組密碼。3名駭客聯手替網站進行這項實驗,成功率為62%到90%,連「qeadzcwrsfxv1331」這種組合也被破解。
這3名駭客也公布他們如何破解密碼,和破解密碼的傳統手法。
駭客要猜測密碼時,不是重複在網站上輸入密碼,而是透過網路上取得所謂的「雜湊密碼」(hashed passwords)清單以破解密碼。
「雜湊」是讓使用者加密前的密碼,透過不可逆演算法產出由數字和字母組成的獨特字串。這樣駭客難以從加密後字串推回到原本的密碼,網站儲存時也是儲存雜湊密碼以加強安全。
假使雜湊密碼清單遭竊取,有心人士也難以破解原本的密碼,不過網站實驗證實,這非毫無可能。
其中1名駭客、Stricture Consulting Group的創辦人與執行長葛斯尼(Jeremi Gosney)透過密碼破解手法,解出1萬多組密碼。
一開始,葛斯尼用「暴力破解法」(Brute-force Attack)破解1到6字元的密碼。
他透過這種方法,在2分鐘32秒內找出1316組加密前的密碼。葛斯尼又以相同方法,找出1618組7或8字元的密碼。
第二種破解法是除了暴力破解法之外,再加上「字典攻擊法」(dictionary attack),成為混和式攻擊法。他在5小時又28分鐘內,破解共1萬2935組密碼。
根據這項駭客實驗,以8字元以下真實詞彙組成的密碼相當容易被破解。Ars Technica建議,為了安全,最好直接用11字元以上的密碼
Ars Technica說:「讀者應要花時間確定所有密碼最少都是11字元,包含大小寫字母和數字。最好也不要長得像某種模式。」1020529
科技網站Ars Technica從列有1萬6449個密碼的清單當中,破解超過1萬4800組密碼。3名駭客聯手替網站進行這項實驗,成功率為62%到90%,連「qeadzcwrsfxv1331」這種組合也被破解。
這3名駭客也公布他們如何破解密碼,和破解密碼的傳統手法。
駭客要猜測密碼時,不是重複在網站上輸入密碼,而是透過網路上取得所謂的「雜湊密碼」(hashed passwords)清單以破解密碼。
「雜湊」是讓使用者加密前的密碼,透過不可逆演算法產出由數字和字母組成的獨特字串。這樣駭客難以從加密後字串推回到原本的密碼,網站儲存時也是儲存雜湊密碼以加強安全。
假使雜湊密碼清單遭竊取,有心人士也難以破解原本的密碼,不過網站實驗證實,這非毫無可能。
其中1名駭客、Stricture Consulting Group的創辦人與執行長葛斯尼(Jeremi Gosney)透過密碼破解手法,解出1萬多組密碼。
一開始,葛斯尼用「暴力破解法」(Brute-force Attack)破解1到6字元的密碼。
他透過這種方法,在2分鐘32秒內找出1316組加密前的密碼。葛斯尼又以相同方法,找出1618組7或8字元的密碼。
第二種破解法是除了暴力破解法之外,再加上「字典攻擊法」(dictionary attack),成為混和式攻擊法。他在5小時又28分鐘內,破解共1萬2935組密碼。
根據這項駭客實驗,以8字元以下真實詞彙組成的密碼相當容易被破解。Ars Technica建議,為了安全,最好直接用11字元以上的密碼
Ars Technica說:「讀者應要花時間確定所有密碼最少都是11字元,包含大小寫字母和數字。最好也不要長得像某種模式。」1020529